Apple ha lanzado su primera ronda documentada de Background Security Improvements para corregir CVE-2026-20643, una vulnerabilidad de WebKit que afecta a iPhone, iPad y Mac. Según Apple, el fallo podía permitir que contenido web especialmente manipulado eludiera la Same-Origin Policy, una de las barreras de seguridad más importantes del navegador para impedir que un sitio acceda a datos pertenecientes a otro origen.
Apple explica que el problema era un fallo cross-origin en la Navigation API de WebKit y que fue corregido mediante una mejora en la validación de entrada. La compañía atribuye el hallazgo al investigador de seguridad Thomas Espach.
La vulnerabilidad afecta a iOS 26.3.1, iPadOS 26.3.1, macOS 26.3.1 y macOS 26.3.2, y fue corregida en las versiones iOS 26.3.1 (a), iPadOS 26.3.1 (a), macOS 26.3.1 (a) y macOS 26.3.2 (a). Apple presenta estas Background Security Improvements como parches más ligeros para componentes como Safari, WebKit y otras bibliotecas del sistema, distribuidos sin esperar a una actualización completa del sistema operativo.
Apple indica además que esta función está soportada desde iOS 26.1, iPadOS 26.1 y macOS 26.1, y que puede gestionarse desde el menú de Privacy & Security. Si el usuario desactiva la instalación automática, no recibirá estas mejoras hasta que queden integradas en una actualización posterior del sistema.
La relevancia práctica del fallo es clara: la Same-Origin Policy es uno de los mecanismos centrales de aislamiento del navegador, y su debilitamiento puede ampliar riesgos sobre sesiones, cookies, tokens y datos entre sitios. Aunque Apple no ha publicado una puntuación CVSS ni ha dicho que la vulnerabilidad estuviera siendo explotada activamente, se trata de un problema en un componente web fundamental desplegado en plataformas Apple de uso masivo, por lo que aplicar el parche con rapidez es una medida prudente tanto para usuarios particulares como para entornos corporativos.